Untersuchung virtueller Maschinen
13. Dezember 2023
ID 186130
Kaspersky Security ermöglicht die Untersuchung der Dateien der virtuellen Maschinen auf Viren auf einem VMware ESXi Hypervisor. Die Dateien einer virtuellen Maschine müssen regelmäßig mit den neuesten Antiviren-Datenbanken untersucht werden, um eine Ausbreitung schädlicher Objekte zu verhindern.
Die Einstellungen, die Kaspersky Security während der Untersuchung virtueller Maschinen anwendet, werden mithilfe von Untersuchungsaufgaben angegeben. Kaspersky Security verwendet folgende Untersuchungsaufgaben:
- Vollständige Untersuchung. Diese Aufgabe ermöglicht die Durchführung einer Untersuchung auf Viren für die Dateien aller virtuellen Maschinen in Ihrer virtuellen Infrastruktur.
- Benutzerdefinierte Untersuchung. Diese Aufgabe ermöglicht die Durchführung einer Untersuchung auf Viren für die Dateien jener virtuellen Maschinen, die Sie in den Aufgabeneinstellungen angeben. Sie können einzelne virtuelle Maschinen oder Objekte der virtuellen VMware-Infrastruktur einer höheren Hierarchieebene angeben.
Sie können einen Zeitplan für die Ausführung von Untersuchungsaufgaben festlegen, Untersuchungsaufgaben manuell starten und Informationen über den Fortschritt und die Ergebnisse der Aufgabenausführung anzeigen.
Werden bei der Untersuchung der Dateien von virtuellen Maschinen in einer Datei Viren oder andere Schadsoftware gefunden, so weist Kaspersky Security der Datei den Status Infiziert zu. Wenn sich aufgrund der Untersuchung nicht eindeutig feststellen lässt, ob eine Datei infiziert ist oder nicht, weist Kaspersky Security der Datei ebenfalls den Status Infiziert zu (dies kann der Fall sein, wenn eine Datei ein Codefragment enthält, das für Viren oder Schadsoftware typisch ist, oder den modifizierten Code eines bekannten Virus).
Während der Untersuchung von virtuellen Maschinen wird die Untersuchungsmethode Signaturanalyse und maschinelles Lernen verwendet. Die Untersuchung unter Verwendung der Methode "Signaturanalyse und maschinelles Lernen" gewährleistet die minimal erforderliche Sicherheitsstufe. Kaspersky Security verwendet Programm-Datenbanken, die Informationen über bekannten Bedrohungen und entsprechende Desinfektionsmethoden enthalten. Gemäß den Empfehlungen der Experten von Kaspersky ist die Untersuchungsmethode "Signaturanalyse und maschinelles Lernen" immer aktiviert.
Darüber hinaus wird bei der Untersuchung virtueller Maschinen die heuristische Analyse eingesetzt – eine Technologie zum Erkennen von Bedrohungen, die mithilfe der Programm-Datenbanken von Kaspersky nicht gefunden werden können. Die heuristische Analyse ermöglicht das Erkennen von Dateien, die eine noch nicht in den Datenbanken verzeichnete Schadsoftware oder die neue Modifikation eines bekannten Virus enthalten können. Dateien, in denen bei der heuristischen Analyse eine Bedrohung erkannt wurde, erhalten den Status Infiziert.
Bei Untersuchung von virtuellen Maschinen wird unabhängig von der ausgewählten Sicherheitsstufe immer die tiefe Ebene der heuristischen Analyse verwendet. Die heuristische Analyse führt in ausführbaren Dateien eine maximale Anzahl von Anweisungen aus. Dadurch wird die Wahrscheinlichkeit für den Fund einer Bedrohung erhöht.
Wenn auf einer virtuellen Maschine ein Programm installiert ist, das Informationen sammelt und zur anschließenden Verarbeitung versendet, kann Kaspersky Security dieses Programm als schädlich einstufen. Um dies zu vermeiden, können Sie das Programm aus dem Untersuchungsbereich ausschließen.
Besonderheiten der Untersuchung von virtuellen Maschinen:
- Kaspersky Security kann deaktivierte virtuelle Maschinen mit den Dateisystemen NTFS, FAT32, EXT2, EXT3, EXT4, XFS, BTRFS bei der Ausführung der Untersuchungsaufgaben untersuchen.
- Bei der Ausführung der Untersuchungsaufgaben kann Kaspersky Security Vorlagen für virtuelle Maschinen untersuchen.
- Bei der Untersuchung virtueller Maschinen mit Windows-Betriebssystemen untersucht Kaspersky Security die Dateien in Netzwerkordnern nicht. Kaspersky Security kann Dateien in Netzwerkordnern nur untersuchen, wenn der Benutzer oder ein anderes Programm auf diese Dateien zugreift. Wenn Sie die Dateien in Netzwerkordnern regelmäßig untersuchen möchten, müssen Sie die Untersuchungsaufgabe für jene virtuelle Maschinen anpassen, auf denen der Netzwerkzugriff auf Ordner und Dateien freigegeben ist, und diese Ordner und Dateien in den Untersuchungsbereich der Aufgabe aufnehmen.
Bei der Untersuchung von virtuellen Maschinen mit Linux-Betriebssystemen untersucht Kaspersky Security die Dateien in CIFS-Netzwerkdateisystemen, wenn die Verzeichnisse, in welche die CIFS-Netzwerkdateisysteme eingebunden sind, zum Untersuchungsbereich der Aufgabe gehören. Die Untersuchung von Dateien in NFS-Netzwerkdateisystemen wird nicht unterstützt.
Es wird empfohlen, nach Abschluss einer Untersuchungsaufgabe die Liste der Dateien, die bei der Aufgabenausführung blockiert wurden, zu überprüfen und diese Dateien entsprechend zu behandeln. Sie können beispielsweise an einem Ort, auf den der Benutzer der virtuellen Maschine nicht zugreifen kann, Backup-Kopien der Dateien anlegen oder die Dateien löschen. Vorher müssen die blockierten Dateien in den Einstellungen des Schutzprofils, das den virtuellen Maschinen zugewiesen ist, vom Schutz ausgeschlossen werden, oder der Schutz muss für die virtuellen Maschinen, auf denen diese Dateien blockiert wurden, vorübergehend deaktiviert werden. Informationen über blockierte Dateien können Sie mithilfe des Ereignisses Datei wurde blockiert in der Ereignisauswahl anzeigen (s. Dokumentation zu Kaspersky Security Center).